django ajax csrf | Форум | Django на русском

Отклики: 30

16 Авг. 2014, 13:45

Отклики: 30

В общем я использую настройку для метода .ajax по установке csrf в заголовок.

$.ajaxSetup({ 
 beforeSend: function(xhr, settings) {
     function getCookie(name) {
         var cookieValue = null;
         if (document.cookie && document.cookie != '') {
             var cookies = document.cookie.split(';');
             for (var i = 0; i < cookies.length; i++) {
                 var cookie = jQuery.trim(cookies[i]);
                 // Does this cookie string begin with the name we want?
             if (cookie.substring(0, name.length + 1) == (name + '=')) {
                 cookieValue = decodeURIComponent(cookie.substring(name.length + 1));
                 break;
             }
         }
     }
     return cookieValue;
     }
     if (!(/^http:.*/.test(settings.url) || /^https:.*/.test(settings.url))) {
         // Only send the token to relative URLs i.e. locally.
         xhr.setRequestHeader("X-CSRFToken", getCookie('csrftoken'));
     }
 }

});

Безопасен ли будет такой код для авторизации и регистрации?

(document).ready(function() {
    $('#login').click(function() {
        username = $("#username").val();
        password = $("#password").val();
        $.ajax({
            url: "/forum/login/",
            method: "POST",
            data:  {
            username: username,
            password: password
            },
        dataType: "json"
        }).done(

Проверил в дебагере, вроде нормально всё!?

Content-Type    application/javascript
Date    Sat, 16 Aug 2014 09:43:45 GMT
Server  WSGIServer/0.1 Python/2.7.3
Set-Cookie  csrftoken=kGgWaMQzIPiqATys5hyz3OHA9jDP7VIW; expires=Sat, 15-Aug-2015 09:43:45 GMT; Max-Age=31449600; Path=/ sessionid=2ormkicml6diib88cotrslp95cljic67; expires=Sat, 30-Aug-2014 09:43:45 GMT; httponly; Max-Age=1209600; Path=/
Vary    Cookie
X-Frame-Options SAMEORIGIN
показать исходный код
Accept  application/json, text/javascript, */*; q=0.01
Accept-Encoding gzip, deflate
Accept-Language en-US,en;q=0.5
Content-Length  30
Content-Type    application/x-www-form-urlencoded; charset=UTF-8
Cookie  csrftoken=VmlhLXkVMQPVuDaXdiF2moGLjOUhUz9R; sessionid=j2uvosctppmndod5pjpmjj52ar2vhz3v
Host    127.0.0.1:8000
Referer http://127.0.0.1:8000/forum/
User-Agent  Mozilla/5.0 (X11; Ubuntu; Linux i686; rv:30.0) Gecko/20100101 Firefox/30.0
X-CSRFToken VmlhLXkVMQPVuDaXdiF2moGLjOUhUz9R
X-Requested-With    XMLHttpRequest

Ответ | 0

16 Авг. 2014, 19:05 alerion Отклики: 5729 Местонахождение: Львов	16 Авг. 2014, 19:05 alerion Отклики: 5729 Местонахождение: Львов Нормально. Ну вреда особого не будет, если кто-то по ошибке с другого сайта зарегистрируется или залогинится. Фиксю баги по трейсбеку.
	Ответ \| 1

16 Авг. 2014, 23:40 Arti Отклики: 590	16 Авг. 2014, 23:40 Arti Отклики: 590 слишком много строк кода... это всё можно в 3 раза компактнее сделать и функциональнее Обновлено 16 Авг. 2014, 23:44 Arti.
	Ответ \| 0

16 Авг. 2014, 23:43

Отклики: 590

16 Авг. 2014, 23:43

Отклики: 590

<form action="{% url 'profile:signin' %}?next={{ request.GET.next }}" method="POST" id="signin_form">
{% csrf_token %}
{% signin_form_tag %} -- темплейт тег с внутренностью формы
</form>

<script>
$("#signin_form").submit(function(e) {
        var form = $(this);
        $.ajax({
            url: $(form).attr("action"),
            type : $(form).attr("method"),
            data: $(form).serialize(),
            beforeSend: function() {
                $(form).find(":input").attr("disabled", true);
            },
            success: function (data) {
                if (data.valid==true) {
                    if (data.url) {
                        window.location.replace(data.url);
                    } else {
                        window.location.replace(document.URL);
                    }
                } else {
                    $(form).html(data);
                }
            }
        });
        e.preventDefault();
    });
    </script>


class SignInView(FormView):
    form_class = SignInForm
    template_name = 'profile/inclusion/signin_form.html'

    def form_valid(self, form):
        cd = form.cleaned_data
        user = auth.authenticate(email=form.user.email, password=cd['password'])
        auth.login(self.request, user)
        data = dict()
        data['valid'] = True
        if self.request.GET.get('next'):
            data['url'] = self.request.GET.get('next')
        return HttpResponse(json.dumps(data), content_type="application/json")

Обновлено 16 Авг. 2014, 23:49 Arti.

Ответ | 2

18 Авг. 2014, 11:38

Отклики: 833

18 Авг. 2014, 11:38

Отклики: 833

немного разные подходы, но оба могут жить)

ТС настраивает вообще AJAX запросы на работу с CSRF, а Arti для конкретной формы)

И то и то норм, в зависимости от задач)

я использую подход, что у ТС - но у меня огромное кол-во ПОСТ запросов

71% добра

Ответ | 0

18 Авг. 2014, 12:14

Отклики: 590

18 Авг. 2014, 12:14

Отклики: 590

ну csrf генерировать нужно только если мы отправляем не форму, а так лишний код как по мне. И то я делаю примерно так:

function getCookie(c_name) {
    if (document.cookie.length > 0) {
        c_start = document.cookie.indexOf(c_name + "=");
        if (c_start != -1) {
            c_start = c_start + c_name.length + 1;
            c_end = document.cookie.indexOf(";", c_start);
            if (c_end == -1) c_end = document.cookie.length;
            return unescape(document.cookie.substring(c_start,c_end));
        }
    }
    return "";
}

$.ajax({
        headers: { "X-CSRFToken": getCookie("csrftoken") },
        url: '/url/',
        type: "POST",
        success: function (data) {

        }
    });

Обновлено 18 Авг. 2014, 12:15 Arti.

Ответ | 0

18 Авг. 2014, 12:28

Отклики: 833

18 Авг. 2014, 12:28

Отклики: 833

    $.ajaxSetup({ 
        beforeSend: function(xhr, settings) {
            if (!(/^http:.*/.test(settings.url) || /^https:.*/.test(settings.url))) {
                xhr.setRequestHeader("X-CSRFToken", $.cookie('csrftoken'));
            }
        },
    });

но, как видно, используется сторонняя библиотека, но она мне и в других местах нужна.

в ангуляре ваще все просто:

app.run(['$http', '$cookies', function($http, $cookies) {

    $http.defaults.headers.post['X-CSRFToken'] = $cookies['csrftoken'];

}]);

71% добра

Ответ | 0

20 Авг. 2014, 21:49

Отклики: 30

20 Авг. 2014, 21:49

Отклики: 30

Блин, залил на хостинг скрипты и не проходят запросы. 403 даёт из-за csrf, типа не работает он у меня. Уже кучу способов перепробывал, как с доков, так и с стэковерфлоу. Даже декоратор @ensure_csrf_cookie не помогает. Помогает только отключение вообще проверки через декоратор @csrf_exempt

Кажется знаю в чём проблема, но не знаю как решить. Возможно что проблема в том, что я использую render_to_response для открытия шаблона. А он не передаёт глобальные переменные. Т.е. если я пишу в шаблоне формы {% csrf %} , открываю страницу в исходном коде, а там нету <input type="hidden" name="csrfmiddlewaretoken". Пробую вручную добавить

<div style="display:none">
            <input type="hidden" name="csrfmiddlewaretoken" value="$csrf_token"/>
  </div>

Открываю исходный код, но всё так и остаётся, а насколько я понимаю, у value должно быть уникальное значение.

Что делать? Всякие куки и заголовки не работают, не пробывал только либу "куки" от jquery

Ответ | 0

20 Авг. 2014, 22:40 hostdjango Отклики: 30	20 Авг. 2014, 22:40 hostdjango Отклики: 30 Вспомнил про RequestContext, кажется решу проблему теперь.
	Ответ \| 0

20 Авг. 2014, 22:49

Отклики: 30

20 Авг. 2014, 22:49

Отклики: 30

Теперь value нормальный, только

$.ajaxSetup({data: {csrfmiddlewaretoken: '{{ csrf_token }}' },});

не помогает, в POST запросе так и отправляется csrfmiddlewaretoken {{ csrf_token }} что вроде бы и логично, т.к. в апострофах находится, но на всяких форумах именно так советуют...

Ответ | 0

20 Авг. 2014, 22:57

Отклики: 30

20 Авг. 2014, 22:57